Заразяването със злонамерен код, който краде логин-данни, вече е самостоятелна

Заразяването със злоумишлен код, който краде логин-данни, към този момент е независима “професия ”: трафер (снимка: CC0 Public Domain)

Киберпрестъпността съществува в доста и разнообразни нюанси – фишинг, спам, рансъмуер… Вече се знае, че в този бизнес има професионални функции и строга бизнес подчиненост, само че за някои от профилите в „ стопанската система “ на киберпрестъпността не се знае нищо: траферите.

Трафери… Не са трапери, по-скоро са трафиканти. Нов отчет на Sekoia хвърля светлина върху активността на траферите.

Какво е трафер?

Траферите — от съветската дума „ траффер “, или още „ служащ “ – са киберпрестъпници, виновни за пренасочването на мрежовия трафик на интернет потребителите към наличие, което те ръководят, като това наличие през множеството време е злоумишлен програмен продукт.

Траферите нормално са проведени като екипи и целят да компрометират уеб страници, с цел да отвлекат трафика и да доведат посетителите при своето злонамерено наличие. Те могат да основават уеб страници, с цел да обслужват въпросната цел.

Както беше разкрито от откриватели на Sekoia, екосистемата на траферите е построена и от висококвалифицирани експерти, и от нови „ функции “, което я прави добра входна точка за начинаещите в киберпрестъпността.

Всеки месец от 2022 година са образувани приблизително по 5 до 22 нови екипа от трафери, съгласно данни от подземния конгрес „ lolz Guru “. Веднъж основан, екипът на траферите може да се развие и реорганизира, да се слее с други екипи или да стартира от нулата, което затруднява оценката на „ дълготрайността “ на траферските групи.

Екипите могат и да се продават, сходно на спортните звезди. Един админ на сходен екип споделя, че му е коствало 3000 $ да сътвори група от 600 души, преди да я продаде.

Методи

Най-значимата част от активността на траферите се състои в пренасочване на интернет потребителите към злоумишлен програмен продукт, 90% от който се състои от стратегии за кражба на информация. Информацията, открадната от злонамерения програмен продукт, може да включва годни идентификационни данни за онлайн услуги, за пощенски кутии, за портфейли за криптовалути или пък информация за кредитни карти. Всички те се назовават „ логове “.
още по темата
Администраторите на екипа могат да продават логове на други киберпрестъпници, които пък на собствен ред употребяват данните за добиване на финансова облага по разнообразни способи.

Администраторите са виновни и за обработката на злонамерения програмен продукт, от който се нуждаят, закупуване на лицензи от разработчиците на злоумишлен програмен продукт и разпространяването измежду екипа.

Администраторите обезпечават на членовете на своите екипи комплект, съдържащ разнообразни запаси:

Веднъж наети, траферите могат да получат файловете със злоумишлен програмен продукт и да ги популяризират посредством пренасочвания от компрометирани уеб страници. Те получават възнаграждение въз основа на качеството и количеството информация, която събират чрез злонамерения програмен продукт, който внедряват.

Траферите постоянно биват предизвиквани в надпревари, проведени от админите. Победителите получават спомагателни пари и достъп до „ професионална “ версия на участието. Този достъп им разрешава да употребяват второ семейство злоумишлен програмен продукт, да получават по-добри услуги и бонуси.

Всеки трафер употребява своя лична верига за доставка, стига да дава отговор на условията на екипа. Според Sekoia, нормалните способи включват уеб страници, маскирани като блогове или страници за инсталиране на програмен продукт, и доставят архивни файлове, предпазени с ключова дума, с цел да се избегне откриването. Опитните трафери наподобява имат доста положителни знания за рекламните платформи и съумяват да разпространяват своите уеб страници посредством сходни услуги.

Веригата за заразяване 911

По-голямата част от екипите на трафиканти, следени от Sekoia, в действителност употребяват способ, наименуван „ 911 “ в подземните конгреси. Състои се от потребление на откраднати профили в YouTube за разпространяване на връзки към злоумишлен програмен продукт, следен от траферите.

Траферът употребява профила, с цел да качи видеоклип, който примамва посетителя да изтегли файл, да деактивира Windows Defender и да го извърши. В множеството случаи видеото касае кракване на програмен продукт. Клипът изяснява по какъв начин да продължите и дава връзки към принадлежности за инсталиране на кракнат програмен продукт, генериране на лицензен ключ или машинация в разнообразни видео-игри.

След като бъдат изпълнени, файловете заразяват компютъра със злонамерения програмен продукт. Самият той нормално се съхранява в законни услуги за продан на файлове като OneDrive, Discord или GitHub. В множеството случаи това е предпазен с ключова дума архивен файл, който съдържа злоумишлен програмен продукт.

Видове злоумишлен програмен продукт

Най-използваните от траферите злонамерени стратегии за кражба на информация, съгласно Sekoia, са Redline, Meta, Raccoon, Vidar и Private Stealer. От тях Redline се смята за най-ефективния апаш, защото има достъп до идентификационни данни от уеб браузъри, портфейли за криптовалути, местни систематични данни и няколко приложения.

Redline разрешава на админите елементарно да наблюдават активността на трафера. Откраднатите данни, добити посредством потреблението на Redline, се продават на голям брой пазари.

Meta е нов злоумишлен програмен продукт и се популяризира като обновена версия на Redline, трансформирайки се в желан за някои екипи на трафери.

Предпазване

Заплахата може да е ориентирана както към физически лица, по този начин и към компании. Специалистите предлагат да се внедрят решения за сигурност и антивирусни системи на всички крайни точки и всички сървъри на компанията. Операционните системи и всичкият програмен продукт също би трябвало да се поддържат настоящи и да се поправят, с цел да се предотврати заразяването им посредством потребление на известни уязвимости.

Потребителите би трябвало да бъдат подготвени да откриват фишинг-заплахи и по всякакъв начин да заобикалят потреблението на кракнат програмен продукт. Когато е допустимо, би трябвало да се употребява многофакторно засвидетелствуване. Трафер, който ревизира валидността на откраднатите идентификационни данни, може просто да се откаже, в случай че логовете са неизползваеми без втори канал за засвидетелствуване.